В мае 2024 года исследователи Kapersky заметили кампанию по распространению SambaSpy, нового трояна удаленного доступа (RAT), ориентированного только на итальянских пользователей.
SambaSpy RAT
Атака начиналась с фишингового письма, маскирующегося под легитимную итальянскую компанию по недвижимости и направляющего жертву на вредоносный веб-сайт. Вредоносная программа запускалась только в том случае, если системный язык пользователя был установлен на итальянский и он использовал определенные браузеры, такие как Chrome, Firefox или Edge.
Конечная полезная нагрузка доставлялась через JAR-файл, размещенный на MediaFire, который выступал в роли загрузчика или дроппера. SambaSpy, основанная на Java RAT, обладает такими расширенными возможностями, как управление файловой системой, контроль веб-камеры, регистрация нажатий клавиш, управление удаленным рабочим столом и кража учетных данных браузера. Вредоносная программа была сильно обфусцирована и использовала такие инструменты, как Zelix KlassMaster, чтобы затруднить обнаружение.
Securelist отмечает, что кампания также связана с Бразилией, поскольку некоторые комментарии к коду и сообщения об ошибках были написаны на бразильском португальском, что указывает на то, что злоумышленник может быть выходцем из этого региона. Нацеливаясь в первую очередь на итальянских пользователей, группа также проявляла интерес к Испании и Бразилии. Кампания использовала законные счета-фактуры и бренды компаний, чтобы придать фишинговым попыткам легитимность. Злоумышленники часто меняли свои методы, но использовали инфраструктуру домена, что помогло исследователям Securelist в идентификации.
Indicators of Compromise
Domains
- 66d68ce73c83226a.ngrok.app
- appsabs.site
- belliniepecuniaimmobili.com
- belliniepecuniaimmobili.com.br
- belliniepecuniaimmobilisrl.online
- belliniepecuniaimmobilisrl.shop
- belliniepecuniaimmobilisrl.xyz
- bpecuniaimmobili.info
- bpecuniaimmobili.online
- bpecuniaimmobili.xyz
- immobiliarebelliniepecunia.info
- immobiliarebelliniepecunia.online
- immobilibelliniepecunia.me
- immobilibelliniepecunia.online
- immobilibelliniepecunia.shop
- immobilibelliniepecunia.site
- immobilibelliniepecunia.xyz
- lamsnajs.site
- lskbd.site
- officediraccoltaanabelacosta.net
- qpps.site
- serverakp.site
- wedmail.site
URLs
- https://1drv.ms/b/s!AnMKZoF8QfODa92x201yr0GDysk?e=ZnX3Rm
- https://moduloj.lamsnajs.site/Modulo32.jpg
MD5
- 0f3b46d496bbf47e8a2485f794132b48
- 1ec21bd711b491ad47d5c2ef71ff1a10
- d153006e00884edf7d48b9fe05d83cb4
- e6be6bc2f8e27631a7bfd2e3f06494aa
